ZeroBox Vulnerability Database

漏洞起因
设计错误
危险等级
中

影响系统
WebKit Open Source Project WebKit 1.2.5
WebKit Open Source Project WebKit 1.2.3
WebKit Open Source Project WebKit 1.2.2
WebKit Open Source Project WebKit r82222
WebKit Open Source Project WebKit r77705
WebKit Open Source Project WebKit r52833
WebKit Open Source Project WebKit r52401
WebKit Open Source Project WebKit r51295
WebKit Open Source Project WebKit r38566
WebKit Open Source Project WebKit 2
WebKit Open Source Project WebKit 1.2.X
WebKit Open Source Project WebKit 1.2.2-1
WebKit Open Source Project WebKit 0
Apple iPod Touch 0
Apple iPhone 4.0.1
Apple iPhone 3.2.1
Apple iPhone 3.1.3
Apple iPhone 3.1.2
Apple iPhone 3.0.1
Apple iPhone 4.3.3
Apple iPhone 4.3.2
Apple iPhone 4.3.1
Apple iPhone 4.3.0
Apple iPhone 4.2.8
Apple iPhone 4.2.5
Apple iPhone 4.2.1
Apple iPhone 4.1
Apple iPhone 4.0.2
Apple iPhone 4.0.1 – Ipodtouch
Apple iPhone 4.0.1 – Iphone
Apple iPhone 4.0 – Ipodtouch
Apple iPhone 4.0 – Iphone
Apple iPhone 4.0
Apple iPhone 3.2.2
Apple iPhone 3.2.1 – Ipad
Apple iPhone 3.2 – Ipodtouch
Apple iPhone 3.2 – Iphone
Apple iPhone 3.2
Apple iPhone 3.1.3 – Ipodtouch
Apple iPhone 3.1.3 – Iphone
Apple iPhone 3.1.2 – Ipodtouch
Apple iPhone 3.1.2 – Iphone
Apple iPhone 3.1 – Ipodtouch
Apple iPhone 3.1 – Iphone
Apple iPhone 3.1
Apple iPhone 3.0.1 – Ipodtouch
Apple iPhone 3.0.1 – Iphone
Apple iPhone 3.0 – Ipodtouch
Apple iPhone 3.0 – Iphone
Apple iPhone 3.0
Apple iPhone 0
Apple iPad 0
Apple iOS 4.2.1
Apple iOS 4.0.2
Apple iOS 4.0.1
Apple iOS 3.2.2
Apple iOS 3.2.1
Apple iOS 4.3.5
Apple iOS 4.3.4
Apple iOS 4.3.3
Apple iOS 4.3.2
Apple iOS 4.3.1
Apple iOS 4.3
Apple iOS 4.2.9
Apple iOS 4.2.8
Apple iOS 4.2.7
Apple iOS 4.2.6
Apple iOS 4.2.5
Apple iOS 4.2.10
Apple iOS 4.2 beta
Apple iOS 4.2
Apple iOS 4.1
Apple iOS 4
Apple iOS 3.2
Apple iOS 3.1
Apple iOS 3.0

不受影响系统
Apple iOS 5

危害
远程攻击者可以利用漏洞绕过安全限制进行跨站脚本攻击。

攻击所需条件
攻击者必须构建恶意WEB页，诱使用户解析。

漏洞信息
WebKit是一款开放源代码的浏览器引擎。
处理非活动DOM窗口存在一个跨域问题，构建恶意WEB页，诱使用户解析，可导致跨站脚本攻击。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息：
http://lists.apple.com/archives/Security-announce/2011/Oct/msg00001.html

漏洞提供者
Sergey Glazunov